Risultato, ormai, di comune percezione il ruolo dominante che gli algoritmi svolgono nell'ambito dell'elaborazione dei dati, in particolare per necessità legato all'analisi di enormi quantità di informazioni. Tale elaborazione, come noto, allorché coinvolga dei dati personali, assume la connotazione di un “trattamento” rientrante nel campo di applicazione della normativa vigente in materia di protezione dei dati . Il descritto scenario, quindi, caratterizzato da un elevato numero di dati personali e dal trattamento degli stessi mediante sistemi automatizzati (come quelli di elaborazione algoritmica), non può che accrescere i rischi cui sono sottoposti gli utenti interessati dal trattamento.
Quali rischi per gli interessati?
Un trattamento che, come quello in esame, si basa su meccanismi automatizzati, potrebbe dar luogo a effetti fortemente negativi per gli interessati, in particolare modo allorché le risultanze del trattamento restituissero degli esiti discriminatori o potenzialmente tali.
Tale eventualità, sintomo dell'ampio margine di rischio connesso a tali trattamenti, risulta ben chiara al Legislatore comunitario che, pertanto, al Considerando 71 del GDPR prescrive chiaramente, per i titolari del trattamento, la necessità di impedire “ effetti discriminatori nei confronti di persone fisici sulla base della razza o dell'origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell'appartenenza sindacale, dello status genetico, dello stato di salute o dell'orientamento sessuale, ovvero un trattamento che comporti misure aventi tali effetti ”.
Analogamente , le“ Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ” (“ Linee Guida ”) espressamente indicato la necessità di verificare e testare gli algoritmi utilizzati “ per rilevare che stanno effettivamente funzionando come previsto e non producono risultati discriminatori, errati o ingiustificati ”.
D'altronde, appare evidente come la profilazione di derivazione algoritmica potrebbe essere iniqua e creare discriminazioni, ad esempio negando l'accesso a opportunità di lavoro, credito o assicurazione oppure offrendo prodotti finanziari eccessivamente rischiosi o costosi.
Quali le misure richieste ai titolari?
In primo luogo, occorre evidenziare che il trattamento dati organizzato su base algoritmica risulta, come qualunque tipologia di trattamento, sottoposto ai principi di cui all'art. 5 del RGPD.
In particolare, nel caso di specie, assume particolare rilevanza il rispetto del principio di minimizzazione dei dati, ai sensi del quale i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Aggiungere all'analisi algoritmica dati personali che non rilevano rispetto alle finalità perseguite comporterebbe sia la violazione del detto principio, sia un aumento della probabilità che le risultanze offerte dall'algoritmo risultino inesatte o discriminatorie.
A tanto si aggiunga che, laddove il trattamento correlato all'algoritmo non comporti in alcun modo l'intervento umano – sostanziandosi, pertanto, in una decisione basata unicamente sul trattamento automatizzato suscettibile di produrre effetti giuridici o comunque rilevanti sugli interessati – l'applicazione troverà l'arte. 22 del RGPD. Ai sensi di tale articolo, ciascun titolare dovrebbe garantire all'interessato il diritto di non essere sottoposto a una decisione derivante interamente da un processo automatizzato, eccetto i casi tassativi in cui la suddetta decisione:
a) “ sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento ”;
b) “ sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento ”;
c) “ si basi sul consenso esplicito dell'interessato ”.
Si prevede, inoltre, che, sussistendo la situazione di cui alla lettera a), il titolare dovrà comunque garantire all'interessato “ almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione ”.
Conclusione
Alla luce del sintetico approfondimento svolto emerge certamente l'elevato tasso di rischiosità connesso alle attività di trattamento di dati personali mediante algoritmi elaborazioneca. Da un lato, infatti, sussiste l'elevato numero di dati personali coinvolti (elemento già di per sé foriero di un rischio connesso alle conseguenze in caso di perdita dei dati), dall'altro le potenziali conseguenze discriminatorie per gli interessati nell'ipotesi in cui l'algoritmo restituisce risultati “alterati”.
Tale rischio, quindi, potrebbe essere adeguatamente raggiunto solo applicando misure tecniche ed organizzative proporzionate, suscettibili di garantire, in particolare, l'esattezza dei dati trattati, il relativo aggiornamento e, ovviamente, garantirne la sicurezza in costanza di trattamento. A tal fine, lo svolgimento di una valutazione d'impatto ai sensi dell'art. 35 GDPR costituisce non solo un suggerimento ma un vero e proprio obbligo per strutturare la compliance del trattamento.
